Dans leur quête de fuites de données et de cartographie web, les chercheurs en sécurité de vpnMentor – qui se présentent comme des hackers éthiques - sondent des ports de blocs de certaines adresses IP et font régulièrement quelques trouvailles.
Fin janvier, ils ont eu accès à près de 900 000 fichiers, dont des photos, vidéos et documents de patients de chirurgie esthétique.
Ces fichiers étaient en libre accès dans un bucket de stockage Amazon Web Services S3 présentant un défaut évident de sécurisation. Comme souvent, vpnMentor souligne qu'il ne s'agit généralement pas d'un défaut à imputer à AWS, mais d'une erreur du propriétaire de la base de données.
En l'occurrence, la base de données appartient à NextMotion qui fournit une solution technologique pour des établissements de chirurgie esthétique. Les documents exposés avaient été mis en ligne via un logiciel de NextMotion.
Basé en France, NextMotion revendique un porte-feuille de plus de 170 cliniques parmi ses clients et ce dans 35 pays.
NextMotion dit avoir été informé de l'exposition des données et souligne que le serveur en question était " totalement indépendant de notre serveur qui stocke les données patients textuelles (identité, historique médical, notes, etc) qui n'a donc pas été exposé. "
L'incident de sécurité a été résolu début février. " Une notification à la CNIL a été effectuée, des investigations sont toujours en cours. Cette notification sera complétée au besoin en fonction des résultats de l'enquête ", ajoute le président de NextMotion.
Une affaire qui ne dit pas pour le moment combien de temps les données ont ainsi pu être en libre accès.
